Dobry backup odpowiada na konkretne pytanie: czy po awarii, błędzie lub ataku można odzyskać właściwe dane w czasie akceptowalnym dla firmy? Żeby to sprawdzić, potrzebujesz dowodów, nie deklaracji.
1. Najpierw ustal, co właściwie jest chronione
Zacznij od listy systemów i danych, bez których firma nie może pracować. Dla każdego elementu zapisz lokalizację, właściciela oraz sposób tworzenia kopii.
- pliki użytkowników i udziały sieciowe;
- bazy danych i systemy branżowe;
- maszyny wirtualne oraz ich konfiguracje;
- poczta, dokumenty chmurowe i dane SaaS;
- konfiguracje firewalli, switchy, NAS-ów i aplikacji;
- klucze, certyfikaty i informacje potrzebne do odtworzenia.
Najczęstsza luka nie polega na tym, że backup w ogóle nie działa. Częściej kopia nie obejmuje nowego katalogu, bazy, skrzynki albo konfiguracji dodanej po ostatniej zmianie.
2. Sprawdź retencję i dostępne punkty w czasie
Jedna aktualna kopia może nie wystarczyć. Uszkodzenie, zaszyfrowanie lub błąd danych bywają wykrywane po kilku dniach lub tygodniach. Sprawdź:
- ile dziennych, tygodniowych i miesięcznych punktów jest przechowywanych;
- czy starsze punkty rzeczywiście istnieją;
- czy zmiana polityki nie usunęła wcześniejszych kopii;
- jak długo trwa pełne i przyrostowe tworzenie kopii;
- czy repozytorium ma wystarczającą pojemność.
3. Oceń, kto może usunąć backup
Jeśli to samo konto administratora ma pełny dostęp do produkcji i repozytorium, przejęcie tego konta może zniszczyć oba środowiska. Warto sprawdzić oddzielne konta, MFA, ograniczenie uprawnień i mechanizmy uniemożliwiające zmianę danych przez określony czas.
Kopia poza główną lokalizacją zmniejsza skutki pożaru, kradzieży lub awarii całej serwerowni. Kopia offline albo immutable zwiększa odporność na ransomware i celowe skasowanie.
4. Przejrzyj alerty i nie polegaj tylko na e-mailu „sukces”
Sprawdź historię co najmniej kilku tygodni. Szukaj zadań kończących się ostrzeżeniem, wyjątków, skróconego czasu wykonania i nagłego spadku ilości danych. Alert powinien trafić do konkretnej osoby, która wie, co dalej zrobić.
5. Wykonaj kontrolowany test odtwarzania
Test powinien być dopasowany do krytyczności systemu. Najprostszy wariant to przywrócenie losowego pliku z określonego dnia. Bardziej wartościowy test może obejmować:
- folder wraz z uprawnieniami;
- bazę danych na serwerze testowym;
- maszynę wirtualną uruchomioną w izolowanej sieci;
- konfigurację urządzenia lub aplikacji;
- odzyskanie konta i dostępu administracyjnego.
Zapisz czas rozpoczęcia, czas uzyskania działającego wyniku, problemy, potrzebne hasła i licencje. To jest realne RTO, a nie szacunek z dokumentacji producenta.
6. Dziesięć pytań kontrolnych
- Kiedy ostatnio przywrócono dane z każdej kluczowej kategorii?
- Czy lista chronionych systemów jest aktualna?
- Kto otrzymuje i sprawdza alerty?
- Czy można usunąć wszystkie kopie jednym kontem?
- Czy istnieje kopia poza główną lokalizacją?
- Czy jest kopia offline lub immutable?
- Jak długo przechowywane są stare wersje?
- Gdzie znajdują się klucze i instrukcja odtwarzania?
- Ile trwa pełne uruchomienie najważniejszego systemu?
- Kto podejmuje decyzję o rozpoczęciu odtwarzania?
Podsumowanie
Backup jest procesem, nie urządzeniem ani licencją. Jego jakość potwierdza dopiero regularne przywracanie, separacja dostępów i dokumentacja umożliwiająca działanie także wtedy, gdy nie ma osoby, która konfigurowała system.
Materiały źródłowe
Warto zapoznać się z aktualnym przewodnikiem CISA „StopRansomware Guide”, który podkreśla znaczenie częstych kopii, wersji offline lub cloud-to-cloud, MFA i ograniczenia publicznego RDP: CISA StopRansomware Guide.